Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise
Lorsque de nouveaux comptes rejoignent votre organisation, ils sont ajoutés à la liste sur la page Comptes de la console AWS Security Posture Management (CSPM) du Security Hub Cloud. Pour les comptes de l’organisation, le type est Par organisation. Par défaut, les nouveaux comptes ne deviennent pas membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Leur statut est Non membre. Le compte d'administrateur délégué peut automatiquement ajouter de nouveaux comptes en tant que membres et activer Security Hub CSPM sur ces comptes lorsqu'ils rejoignent l'organisation.
Note
Bien que plusieurs d'entre Régions AWS elles soient actives par défaut pour votre région Compte AWS, vous devez activer certaines régions manuellement. Ces régions sont appelées « régions optionnelles » dans ce document. Pour activer automatiquement le Security Hub CSPM sur un nouveau compte dans une région optionnelle, cette région doit d'abord être activée sur le compte. Seul le titulaire du compte peut activer la région opt-in. Pour plus d'informations sur les régions optionnelles, voir Spécifier celles que Régions AWS votre compte peut utiliser.
Ce processus est différent selon que vous utilisez la configuration centrale (recommandée) ou la configuration locale.
Activation automatique des nouveaux comptes d'entreprise (configuration centrale)
Si vous utilisez la configuration centralisée, vous pouvez activer automatiquement le Security Hub CSPM dans les comptes d'organisation nouveaux et existants en créant une politique de configuration dans laquelle le Security Hub CSPM est activé. Vous pouvez ensuite associer la politique à la racine de l'organisation ou à des unités organisationnelles spécifiques (OUs).
Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à une unité d'organisation spécifique, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) appartenant à cette unité d'organisation. Les nouveaux comptes qui n'appartiennent pas à l'unité d'organisation sont autogérés et le Security Hub CSPM n'est pas automatiquement activé. Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à la racine, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) qui rejoignent l'organisation. Les exceptions sont les cas où un compte utilise une politique différente par le biais d'une application ou d'un héritage, ou s'il est autogéré.
Dans votre politique de configuration, vous pouvez également définir les normes et contrôles de sécurité qui doivent être activés dans l'unité d'organisation. Pour générer des résultats de contrôle pour les normes activées, les comptes de l'unité d'organisation doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir Activation et configuration AWS Config.
Pour obtenir des instructions sur la création d'une politique de configuration, consultezCréation et association de politiques de configuration.
Activation automatique des nouveaux comptes d'organisation (configuration locale)
Lorsque vous utilisez la configuration locale et que vous activez l'activation automatique des normes par défaut, Security Hub CSPM ajoute de nouveaux comptes d'organisation en tant que membres et active Security Hub CSPM dans ces comptes dans la région actuelle. Les autres régions ne sont pas touchées. En outre, l'activation automatique n'active pas le Security Hub CSPM dans les comptes d'organisation existants, sauf s'ils ont déjà été ajoutés en tant que comptes membres.
Une fois l'activation automatique activée, les normes de sécurité par défaut sont activées pour les nouveaux comptes membres de la région actuelle lorsqu'ils rejoignent l'organisation. Les normes par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Vous ne pouvez pas modifier les normes par défaut. Si vous souhaitez activer d'autres normes au sein de votre organisation, ou activer des normes pour certains comptes OUs, nous vous recommandons d'utiliser une configuration centralisée.
Pour générer des résultats de contrôle pour les normes par défaut (et les autres normes activées), les comptes de votre organisation doivent avoir été AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir Activation et configuration AWS Config.
Choisissez votre méthode préférée et suivez les étapes pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'entreprise. Ces instructions s'appliquent uniquement si vous utilisez une configuration locale.
